Varias empresas con las que he trabajado recientemente han tenido la desgracia de ser víctimas de incidentes de ciberseguridad. Si bien estos incidentes se presentan de muchas formas, hay un hilo común: todos comenzaron con un compromiso de la identidad del usuario. Por qué las identidades son el objetivo La seguridad de la identidad, ya sea que se trate de nombres de usuario y contraseñas, nombres de máquinas, claves de cifrado o certificados, presenta un verdadero desafío. Estas credenciales son necesarias para el control de acceso, lo que garantiza que solo los usuarios autorizados tengan acceso a los sistemas, la infraestructura y los datos. Los ciberdelincuentes también lo saben, por lo que intentan constantemente comprometer las credenciales. Es por eso que incidentes como los ataques de phishing siguen siendo un problema constante; obtener acceso a las credenciales correctas es el punto de apoyo que necesita un atacante. Los intentos de comprometer la identidad dejan un rastro: un correo electrónico de phishing, un intento de inicio de sesión desde una ubicación incorrecta o señales más sofisticadas, como la creación de un nuevo token de autenticación multifactor (MFA). Desafortunadamente, estas cosas pueden suceder con varios días de diferencia, a menudo se registran en múltiples sistemas y individualmente pueden no parecer sospechosas. Esto crea brechas de seguridad que los atacantes pueden aprovechar. Resolver el desafío de la seguridad de la identidad La seguridad de la identidad es compleja y difícil de abordar. Las amenazas son constantes y numerosas, y los usuarios y las máquinas se dirigen a métodos de ataque cada vez más innovadores por parte de ciberatacantes específicos. Una cuenta comprometida puede ser muy valiosa para un atacante, ya que ofrece un acceso difícil de detectar que puede usarse para realizar reconocimiento y diseñar un ataque dirigido para implementar malware o robar datos o fondos. El problema de las identidades comprometidas no hará más que crecer y el impacto del compromiso es significativo, ya que en muchos casos las organizaciones no tienen las herramientas o el conocimiento para abordarlo. Fue el desafío de proteger las identidades de los usuarios lo que me hizo aprovechar la oportunidad de trabajar en un proyecto de investigación de GigaOm sobre soluciones de detección y respuesta a amenazas de identidad (ITDR), brindándome la oportunidad de aprender y comprender cómo los proveedores de seguridad podrían ayudar a abordar este complejo. desafío. Las soluciones ITDR son una tendencia creciente en la industria de TI y, si bien son una disciplina más que un producto, la tendencia ha llevado a soluciones basadas en software que ayudan a hacer cumplir esa disciplina. Cómo elegir la solución ITDR adecuada Capacidades de la solución Las herramientas ITDR reúnen telemetría de amenazas basada en identidad de muchas fuentes, incluidos directorios de usuarios, plataformas de identidad, plataformas en la nube, soluciones SaaS y otras áreas como puntos finales y redes. Luego aplican análisis, aprendizaje automático y supervisión humana para buscar correlaciones entre puntos de datos y proporcionar información sobre amenazas potenciales. Fundamentalmente, lo hacen con rapidez y precisión (en cuestión de minutos), y es esta velocidad la que es esencial para abordar las amenazas. En los ejemplos que mencioné, pasaron días antes de que se detectara la identidad comprometida y para entonces el daño ya estaba hecho. Las herramientas que pueden notificar rápidamente sobre amenazas e incluso automatizar la respuesta reducirán significativamente el riesgo de un posible compromiso. La seguridad proactiva que puede ayudar a reducir el riesgo en primer lugar agrega valor adicional. Las soluciones ITDR pueden ayudar a crear una imagen del entorno actual y aplicarle plantillas de riesgo para resaltar áreas de preocupación, como cuentas o repositorios de datos con permisos excesivos, cuentas no utilizadas y cuentas encontradas en la web oscura. Los conocimientos sobre la postura de seguridad proporcionados al resaltar estas preocupaciones ayudan a mejorar las bases de seguridad. La tecnología del engaño también es útil. Funciona mediante el uso de cuentas o recursos falsos para atraer atacantes, dejando intactos los recursos reales. Esto reduce el riesgo para los recursos reales y, al mismo tiempo, proporciona una forma útil de estudiar los ataques en curso sin poner en riesgo activos valiosos. Enfoque del proveedor Las soluciones ITDR se dividen en dos campos principales y, si bien ninguno de los enfoques es mejor o peor que el otro, es probable que atraigan a diferentes mercados. Una ruta es el enfoque «complementario», generalmente de proveedores en el espacio de detección y respuesta extendida (XDR) o en el espacio de gestión de acceso privilegiado (PAM). Este enfoque utiliza conocimientos existentes y les aplica inteligencia sobre amenazas de identidad. Para las organizaciones que ya utilizan herramientas XDR o PAM, agregar ITDR puede ser una opción atractiva, ya que es probable que tengan controles de mitigación más sólidos y granulares y la capacidad de utilizar otras partes de su conjunto de soluciones para ayudar a aislar y detener ataques. El otro enfoque proviene de proveedores que han creado herramientas específicas centradas en la identidad desde cero, diseñadas para integrarse ampliamente con las pilas de tecnología existentes. Estas herramientas extraen la telemetría de las pilas existentes a un motor ITDR dedicado y la utilizan para resaltar y priorizar el riesgo y potencialmente imponer el aislamiento y la mitigación. La flexibilidad y amplitud de cobertura que ofrecen estas herramientas pueden hacerlas atractivas para usuarios con entornos más amplios y complejos que desean agregar seguridad de identidad sin cambiar otros elementos de su inversión actual. Próximos pasos Para obtener más información, consulte los informes de radar y criterios clave ITDR de GigaOm. Estos informes brindan una descripción general completa del mercado, describen los criterios que querrá considerar en una decisión de compra y evalúan el desempeño de varios proveedores en función de esos criterios de decisión. Si aún no eres suscriptor de GigaOm, regístrate aquí.